Vulnerabilidad en Telegram WebK (CVE-2024-33905)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/04/2024
Última modificación:
15/04/2026
Descripción
En Telegram WebK anterior a 2.0.0 (488), una mini aplicación web manipulada permite XSS a través del tipo de evento postMessage web_app_open_link.
Impacto
Puntuación base 3.x
4.60
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/04/30/4
- https://github.com/morethanwords/tweb/commit/2153ea9878668769faac8dd5931b7e0b96a9f129/src/components/popups/webApp.ts
- https://medium.com/%40pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90
- https://www.openwall.com/lists/oss-security/2024/04/28/4
- http://www.openwall.com/lists/oss-security/2024/04/30/4
- https://github.com/morethanwords/tweb/commit/2153ea9878668769faac8dd5931b7e0b96a9f129/src/components/popups/webApp.ts
- https://medium.com/%40pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90
- https://www.openwall.com/lists/oss-security/2024/04/28/4